Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   [решено] Аудит файлов и папок (http://forum.oszone.net/showthread.php?t=339478)

dahiko 01-03-2019 13:39 2860698
Аудит файлов и папок
 
Всем привет!

Есть задача - настроить аудит файлов и папок, чтобы было видно кто, когда, что изменил. Включая, если было изменено содержимое файла или папки.

Настроил аудит по этой статье
https://habr.com/ru/company/netwrix/blog/208892/

После всех изменений в журналах появляются некоторые события:
1. если поменялись права на папку или файл
2. если поменялся аудит папки или файла

Если изменилось содержимое папки или файла никаких событий не появляется.

Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки?
Заранее спасибо!

Anton04 02-03-2019 11:40 2860865
Цитата:
Цитата dahiko
Включая, если было изменено содержимое файла или папки. »
Цитата:
Цитата dahiko
Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки? »
Если вы имеете в виду разницу, например одного документа, между тем что было и что стало то штатными средствами никак, только если переносить все документы в БД и уже средствами БД рулить. Аудит системы покажет Вам только то что было обращение к объекту и кто делал обращение.

dahiko 03-03-2019 21:00 2861092
Цитата:
Цитата Anton04 (Сообщение 2860865)
Цитата:
Цитата dahiko
Включая, если было изменено содержимое файла или папки. »
Цитата:
Цитата dahiko
Подскажите, как можно реализовать аудит изменения определенного файла в папке или содержимого всей папки? »
Если вы имеете в виду разницу, например одного документа, между тем что было и что стало то штатными средствами никак, только если переносить все документы в БД и уже средствами БД рулить. Аудит системы покажет Вам только то что было обращение к объекту и кто делал обращение.
Нет. Не надо сравнивать содержимое файла. Достаточно, чтобы в логах появилось событие, что файл был изменён

Iska 03-03-2019 22:35 2861109
Цитата:
Цитата dahiko
что файл был изменён »
Не факт, что он был изменён.

P.S. А для Word'а и Excel'я произведённое сохранение файла вообще означает удаление старого файла и создание на его месте одноимённого нового.

paranoya 04-03-2019 09:39 2861169
dahiko, групповая политика привязана к OU в котором находит сервер, которой нужно мониторить?

dahiko 20-12-2019 10:30 2901363
Цитата:
Цитата paranoya
xcel'я произведённое сохранение файла вообще означает удаление старого файла и создание на его месте одноимённого нового. »
Да, конечно. Проверил еще раз.

Дополнительно проверил, что замыкания (loopback) в GPO отключен.

dahiko 20-12-2019 12:36 2901385
Убрал аудит, еще раз все настроил. Получил нужное событие при изменении файла. В таком случае генерируется EventID 4663 с Access Mask: 0x6 и с Accesses: WriteData


Пример события.

An attempt was made to access an object.


Subject:
Security ID: хх\administrator
Account Name: administrator
Account Domain: хх
Logon ID: 0x3DE02

Object:
Object Server: Security
Object Type: File
Object Name: C:\...........\New Text Document.txt
Handle ID: 0x178
Resource Attributes: S:AI


Process Information:
Process ID: 0x113c
Process Name: C:\Windows\System32\notepad.exe

Access Request Information:
Accesses: WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
Access Mask: 0x6


Время: 20:19.

Время: 20:19.
© OSzone.net 2001-